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Wijziging van de Wet gebruik 
burgerservicenummer in de zorg, de Wet 
marktordening gezondheidszorg en de 
Zorgverzekeringswet (cliëntenrechten bij 
elektronische verwerking van gegevens) 


VERSLAG VAN DE VASTE COMMISSIE VOOR VOLKSGE¬ 
ZONDHEID, WELZIJN EN SPORT 1 

Vastgesteld 24 mei 2016 

De nadere memorie van antwoord heeft de commissie aanleiding 
gegeven tot het maken van de volgende opmerkingen en het stellen van 
de volgende vragen. De commissie verzoekt de regering de vragen 
uiterlijk 17 juni 2016 te beantwoorden. Vertrouwende op een volledige en 
tijdige reactie achten de leden van de commissie de openbare behan¬ 
deling van het wetsvoorstel voldoende voorbereid. 

Inleiding 

De leden van de VVD-fractie hebben met belangstelling kennisgenomen 
van de nadere memorie van antwoord en hebben nog een enkele vraag. 

De leden van de CDA-fractie danken de regering voor de nadere memorie 
van antwoord. Naar aanleiding daarvan, alsmede naar aanleiding van de 
technische briefing van 16 februari 2016 2 en de inbrengen tijdens de 
deskundigenbijeenkomst van 5 april 2016 3 , hebben zij nog enkele vragen. 
De leden van de SP-fractie sluiten zich aan bij de vragen van de leden van 
de CDA-fractie. 

Naar aanleiding van de onlangs gehouden deskundigenbijeenkomst, 
leggen de leden van de D66-fractie de volgende vragen graag voor aan 
de regering. 


1 Samenstelling: 

Ten Hoeve (OSF), Koffeman (PvdD), Kuiper (CU), De Vries-Leggedoor (CDA),Flierman (CDA), 
Barth (PvdA), Beuving (PvdA), Ganzevoort (GL), De Grave (VVD), Martens (CDA) (voorzitter), 
Schouwenaar (VVD), Bruijn (VVD) (vice-voorzitter), Gerkens (SP), Kops (PVV), Atsma (CDA), 
Bredenoord (D66), Dercksen (PVV), Van Dijk (SGP), Don (SP), Van Hattem (PVV), Krikke (VVD), 
Nooren (PvdA), Oomen-Ruijten (CDA), Prast (D66), Van Rooijen (50PLUS), Schnabel (D66), 
Wezel (SP) 

2 Ambtenaren van het Ministerie van VWS verzorgden op 16 april 2016 een technische briefing 
over het wetsvoorstel. 

3 Kamerstukken I 2015/16, 33 509, L. 
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De fractieleden van de PVV hebben met belangstelling kennisgenomen 
van de nadere memorie van antwoord. Zij hebben nog enkele vragen. 

De leden van de fractie van de SP danken de regering voor haar beant¬ 
woording. Zij hebben echter nog een aantal vragen. 

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen 
van de antwoorden van de regering op het nader voorlopig verslag. Zij 
danken de regering daarvoor. De antwoorden geven een nadere duiding 
van wat geregeld gaat worden met dit wetvoorstel, de potentiële 
meerwaarde die de regering ziet en hoe zij invulling wil geven aan de 
uitvoerbaarheid van artikel 15a van het wetsvoorstel dat gericht is op 
gespecificeerde toestemming. De PvdA-fractieleden hebben op basis van 
deze antwoorden, de technische briefing, reacties uit het veld en de 
deskundigenbijeenkomst die in het kader van de nadere memorie van 
antwoord is gehouden, nog een aantal vragen. 

De leden van de fractie van GroenLinks hebben - na lezing van de 
nadere memorie van antwoord en na overweging van de informatie die 
werd gedeeld tijdens de technische briefing en de deskundigenbijeen¬ 
komst - nog enkele vragen bij dit wetsvoorstel. 

Vragen en opmerkingen van de leden van de VVD-fractie 

De leden van de VVD-fractie vragen de regering of de op 6 april 2016 door 
het Europees Parlement aangenomen Algemene Verordening Gegevens¬ 
bescherming (AVG) 4 en het daarin geregelde rondom verwerking en 
verstrekking van gezondheidsgegevens van invloed is op dit wetsvoorstel. 
Zo ja, regelt de AVG meer, of stelt deze juist beperkingen aan de 
verwerking en verstrekking van gegevens door of aan zorgverleners en 
ziektekostenverzekeraars zoals deze op grond van het onderhavige 
wetsvoorstel zullen plaatsvinden? 

De leden van de VVD-fractie wachten de beantwoording met belang¬ 
stelling af. 

Vragen en opmerkingen van de leden van de CDA-fractie 

Gefaseerde invoering 

Wat betreft de gefaseerde invoering verzoeken de CDA-fractieleden de 
regering om nog eens duidelijk aan te geven wat de meerwaarde en de 
urgentie van de voorgestelde gefaseerde invoering is ten opzichte van 
invoering van de gehele wet over drie jaar. Ook dan is immers nu al 
helder wat de verplichtingen over drie jaar zijn en kan de wet bijdragen 
aan het versneld produceren en aanschaffen van adequate soft- en 
hardware, dit mede in het licht van de opmerkingen tijdens de deskundi¬ 
genbijeenkomst dat er niet veel mis zal gaan, omdat er ook nu al 
voldoende veldnormen zijn en er wél veel mis kan gaan door de wet eerst 
slechts ten dele in te voeren 5 . Dit moet ook gezien worden in het licht van 
de opmerking van de regering dat patiënten ook zonder toestemming 
verzekerd zijn van goede zorg. Anders gezegd: kan de regering aangeven 
wat het nadeel is als de wet in zijn geheel over drie jaar ingaat? 

Als sprake is van gefaseerde invoering, kan de regering aangeven 
waarom zij afziet van de mogelijkheid ook in de rompwet het recht op 
inzage voor patiënten op te nemen, tenminste voor degenen die het 


4 Zie ook E-dossier E120003 op de Europapoort (www.eerstekamer.nl/eu/). 

5 Kamerstukken I 2015/16, 33 509, L. 
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dossier hebben geconsulteerd? Die gegevens zijn immers nu al 
beschikbaar. 

Kan de regering aangeven welke normen met betrekking tot de veilige 
apparatuur en communicatie nu nog niet gelden en met het wetsvoorstel 
wel direct van toepassing worden? 

Kan de regering aangeven op grond van welke gegevens zij tot de 
conclusie komt dat hetgeen nu nog niet mogelijk is, over drie jaar wel 
beschikbaar is en geïmplementeerd kan zijn, ook met betrekking tot 
adequate, veilige en betrouwbare authenticatiemiddelen? 

In de nadere memorie van antwoord zegt de regering dat er wordt 
gewerkt aan de totstandkoming van een afsprakenstelsel en de ontwik¬ 
keling van authenticatiemiddelen die in het Idensys-stelsel kunnen 
worden gebruikt. 6 Kan de regering aangeven wat de stand van zaken is in 
dezen? 

Normen 

Is het juist dat de aangegeven respectievelijk bestaande NEN-normen met 
betrekking tot veilige communicatie vooral over interne processen en het 
gebruik van ICT-apparatuur gaan en niet zozeer technische normen voor 
de apparatuur betreffen? Kan de regering aangeven op welke wijze zij 
overweegt om naast de procesnormen, normen in te voeren ten behoeve 
van veilige communicatie en veilige apparatuur, zodanig dat er een 
adequaat inhoudelijk referentiekader is voor het bepaalde in artikel 13 van 
de Wet bescherming persoonsgegevens (Wbp), waar het gaat om 
passende technische en organisatorische maatregelen? 

Is de regering bekend met het Besluit (EU) 2015/1302 van de Europese 
Commissie betreffende de vaststelling van de profielen op het gebied van 
«Integrating the Healthcare Enterprise» (IHE) als referentie bij overheids¬ 
opdrachten? Het besluit wijst op het belang van vrijwillige normalisatie op 
de markten voor producten en diensten teneinde de compatibiliteit en 
interoperabiliteit tussen diensten en producten te waarborgen, technolo¬ 
gische ontwikkelingen te stimuleren en innovatie te ondersteunen. De - 
inmiddels 27 - profielen betreffen technische specificaties voor het 
uitwisselen of delen van medische gegevens en zijn erop gericht om de 
interoperabiliteit van diensten en applicaties op het gebied van 
e-gezondheid te vergroten, dit in het belang van patiënten en de medische 
wereld. Kan de regering aangeven of Nederland uitwerking geeft aan dit 
besluit en zo ja, hoe? Zo nee, waarom niet? Kan de regering aangeven in 
hoeverre deze standaarden kunnen bijdragen aan betere veiligheid van 
apparatuur en communicatie zoals beoogd in onderhavig wetsvoorstel? 
Overweegt de regering om deze standaard op te nemen in de AMvB? 

Is er overigens al iets te zeggen over de uitwerking van de AMvB waarin 
specifieke, technische en organisatorische eisen aan de elektronische 
gegevensuitwisseling in zijn algemeenheid worden vastgelegd, en waarin 
deze mogelijk zal verschillen met de huidige eisen dienaangaande? 

Privacy/uitwisseling gegevens 

Kan de regering preciezer aangeven hoe het wetsvoorstel borgt dat alleen 
de behandelend arts toegang heeft tot een dossier? In de nadere memorie 
van antwoord lezen de CDA-fractieleden slechts dat het niet de bedoeling 


Kamerstukken I 2015/16, 33 509, J, p. 14. 
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is dat onbevoegden erbij kunnen en dat dat ook strafbaar is 7 . Concluderen 
zij daaruit terecht dat het - ook al is het niet de bedoeling - wél mogelijk 
is? Kan de regering ook aangeven of voorkomen kan worden dat dossiers 
(door onbevoegden) gekopieerd worden en hoe men dat kan voorkomen? 

Kan de regering aangeven hoe zij de relatie ziet tussen het belang van 
privacy en veilige communicatie enerzijds en de onveiligheid van veel 
thuisapparatuur anderzijds, alsmede wat dat betekent voor voorliggend 
wetsvoorstel? 

Gespecificeerde toestemming 

Is er inmiddels een mede door het veld geaccordeerde, te implementeren 
definitie van gespecificeerde toestemming? Zo ja, welke? 

Van verschillende kanten is erop gewezen dat het wetsvoorstel de 
betekenis van de Wet op de geneeskundige behandelingsovereenkomst 
(WBGO) en de Wbp verandert. Voorliggend wetsvoorstel is bedoeld om 
de communicatie tussen zorgverleners te verbeteren, maar regelt in hoge 
mate vooral de rechten van patiënten. Waar bij de WBGO en de Wbp de 
arts «in charge» is, komt er nu meer en meer (ook) bij de patiënt te liggen. 
Gaarne een reactie van de regering. 

Kan de regering daarbij ook reageren op het pleidooi dat te horen was 
tijdens de deskundigenbijeenkomst, dat het beter zou zijn geweest de 
rechten en bescherming van patiënten via een andere wette regelen 8 ? 

Bij de gespecificeerde toestemming gaat het erom dat patiënten 
toestemming kunnen geven aan onderscheiden zorgaanbieders, catego¬ 
rieën zorgverleners en/of individuele zorgverleners gespecificeerd ook 
naar type medische gegevens. In de deskundigenbijeenkomst werd 
opgemerkt dat er op dit moment geen gestandaardiseerde lijsten bestaan 
van (categorieën van) zorgverleners en er geen duidelijke categorisering is 
van medische gegevens waartegen ja of nee gezegd kan worden. 9 Is dit 
juist? Zo ja, kan de regering aangeven of, en zo ja, hoe dit probleem 
ondervangen zal worden? 

Patiëntenportaal 

Met betrekking tot de wenselijkheid van een patiëntenportaal: in de 
deskundigenbijeenkomst was er een pleidooi om dit niet als plicht op te 
nemen, maar als een optie of een recht. 10 Kan de regering aangeven wat 
zij als voor- en nadelen ziet van deze optie? 

Als de regering een patiëntenportaal niet wenselijk acht, op welke manier 
kunnen patiënten dan overzicht houden over de door hen gegeven 
gespecificeerde toestemming (aan alle individuele zorgverleners)? En hoe 
kan een patiënt dan zien wie zijn of haar gegevens heeft geraadpleegd? 

Kan de regering aangeven wie uiteindelijk verantwoordelijk is dan wel zou 
moeten zijn, ook financieel, voor het beheer van een eventueel 
patiëntenportaal? 

Is het zo dat het wetsvoorstel het mogelijk wil maken dat naast een 
zorgverlener, ook de patiënt en een vervolgbehandelaar een dossier kan 
bewerken? Kan de regering nog eens aangeven wie eindverantwoordelijk 


7 Kamerstukken I 2015/16, 33 509, J, p. 6. 

8 Kamerstukken I 2015/16, 33 509, L, p. 20. 

9 Kamerstukken I 2015/16, 33 509, L, p. 21. 

10 Kamerstukken I 2015/16, 33 509, L, p. 26. 
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is voor de juistheid van het dossier respectievelijk een veilige uitwis¬ 
seling? Deze vraag stellen de CDA-fractieleden mede in het licht van het 
gegeven dat de dossiers bij een zorgaanbieder raadpleegbaar worden 
zonder dat de zorgaanbieder die de gegevens beschikbaar heeft gemaakt, 
daarvoor nog een actieve handeling moet verrichten. Kan de regering ook 
aangeven hoe deze verantwoordelijkheid controleerbaar en handhaafbaar 
in de wet geregeld wordt? 

Algemeen met betrekking tot het wetsvoorstel 

Kan de regering aangeven of het wetsvoorstel ook regelt dat gegevens 
gebruikt kunnen worden voor wetenschappelijk onderzoek? Zo ja, hoe? En 
onder welke voorwaarden? 

Is het juist dat pull-berichten op dit moment nog niet of nauwelijks zijn 
toegestaan en dat met het aannemen van de rompwet de mogelijkheden 
hiervoor worden vergroot? Zo ja, kan de regering aangeven naar 
aanleiding van welke problemen (en de omvang ervan) geconcludeerd is 
dat het push-systeem niet meer voldoet en een pull-systeem daar een 
adequaat antwoord op is? 

In de nadere memorie van antwoord stelt de regering enkele malen dat 
het wetsvoorstel alléén betrekking heeft op pull-berichten en niet op 
push-berichten. 11 Als dat zo is, is het dan niet des te belangrijker dat ook 
de logginge n listing tegelijkertijd worden geregeld? En kan de regering 
aangeven hoe gegarandeerd wordt dat de regelingen in het wetsvoorstel 
met betrekking tot veiligheid van apparatuur en veilige communicatie ook 
geldig worden voor push-berichten? 

Het is niet de bedoeling, maar in hoeverre borgt het wetsvoorstel ook dat 
de toestemming van de patiënten geen onderdeel wordt van tariefonder- 
handelingen en contracten van de zijde van de zorgverzekeraar? 

Een van de nadere vragen van de CDA-fractieleden ging over de vraag 
naar de wenselijkheid dat een zorgverlener de cliënt kan «overrulen» als 
deze weigert bepaalde gegevens te delen. De regering antwoordt daarop 
dat zorgverlener altijd de behandelrelatie kan opzeggen als deze beschikt 
over te weinig informatie voor een goede behandeling. Het al of niet 
opzeggen acht de regering onafhankelijk van de wijze van aanleveren van 
gegevens (elektronisch of anderszins). 12 De CDA-fractieleden zien dit niet 
als een antwoord op de gestelde vraag. De vraag gaat over de relatie 
respectievelijk spanning die er kan bestaan tussen enerzijds toestemming 
en anderzijds vitaal belang. Hoe borgt het wetsvoorstel dat minder 
zelfredzame mensen niet de dupe kunnen worden en dat zorgverleners 
niet beperkt worden in hun handelen in het vitaal belang van hun 
patiënten door een in het systeem ontbrekende toestemming? Met andere 
woorden: in hoeverre acht de regering het wenselijk dat een zorgverlener 
in dat geval de mogelijkheid heeft te «overrulen», bijvoorbeeld als het 
vitaal belang in het geding is waarover ook de Wbp spreekt 13 ? 

Vragen en opmerkingen van de leden van de D66-fractie 

Ten eerste zouden de D66-fractieleden graag van de regering horen of zij 
overweegt de behandeling van het voorliggende (romp)wetsvoorstel uit te 
stellen totdat er meer duidelijkheid bestaat over de technische uitvoer¬ 
baarheid van de gespecificeerde toestemming. En zo ja, waarom wel, en 


11 Zie bijvoorbeeld Kamerstukken I 2015/16, 33 509, J, p. 12. 

12 Kamerstukken I 2015/16, 33 509, J, p. 10. 

13 Artikel 8, onder d, van de Wbp. 
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zo nee, waarom niet? Graag ontvangen deze leden een nadere toelichting 
van de regering. 

Is de regering voorts van mening dat de gestelde NEN-normen - die bij 
inwerkingtreding van het wetsvoorstel zouden worden ingevoerd - 
voldoende adequaat zijn voor het beveiligen van de uitwisseling van 
elektronische uitwisseling van medische gegevens, en zo ja, om welke 
redenen? 

Vragen en opmerkingen van de leden van de PVV-fractie 

Op de vragen over de mogelijkheid van een autorisatiepas voor de patiënt 
antwoordt de regering in de nadere memorie van antwoord dat zij geen 
aanleiding ziet om de introductie van zo'n pas te overwegen, waarbij zij 
zich beroept op onderzoek uit 2011 waaruit zou zijn gebleken dat het 
gebruik van een pas voor autorisatie dezelfde nadelen zou kennen als een 
zorgpas voor opslag en autorisatie. 14 Aangezien het genoemde onderzoek 
dus inmiddels vijf jaar oud is: is bij de regering bekend of er inmiddels 
nieuwe technologische ontwikkelingen zijn die de destijds geconstateerde 
bezwaren bij een zorgpas wegnemen, of dat deze ontwikkelingen binnen 
afzienbare tijd kunnen worden verwacht? 

Tegelijkertijd stelt de regering in de nadere memorie van antwoord dat het 
een wenkend perspectief is dat burgers beschikken over veilige authenti- 
catiemiddelen op voldoende hoog betrouwbaarheidsniveau waarmee zij 
toegang kunnen krijgen tot hun gegevens, maar dat de ontwikkeling 
minder snel loopt dan verwacht. Dit voert de regering aan als reden om 
de bepalingen ten aanzien van elektronische inzage en afschrift pas na 
drie jaar in werking te laten treden, omdat zij verwacht dat dit dan wél 
beschikbaar zal zijn. 15 Welke concrete aanwijzingen heeft de regering dat 
over drie jaar er wél een authenticatiemiddel beschikbaar is op het 
gewenste niveau? 

In de nadere memorie van antwoord stelt de regering: «Het is voor het 
bieden van goede, veilige en samenhangende zorg belangrijk dat 
zorgverleners kunnen beschikken over goede en relevante medische 
informatie over de cliënt. Deze informatie komt in toenemende mate 
digitaal beschikbaar. Zo levert het groeiende aantal e-health toepassingen 
veel actuele monitorgegevens op over de patiënt die bij kunnen dragen 
aan een adequate behandeling.» 16 Kan de regering aangeven hoe de in dit 
wetsvoorstel bedoelde toestemmingsmogelijkheden en beschermingsni¬ 
veaus zich verhouden tot monitorgegevens uit e-health toepassingen? 

Hoe kan een patiënt hierover concreet controle en inzicht behouden, en 
wie kan er toegang tot deze informatie krijgen? 

Op 22 februari waren in de media uitspraken te lezen van Philips-topman 
Frans van Houten over voorliggend wetsvoorstel. De Philips-CEO gaf aan 
dat hij hoopt dat de Eerste Kamer dit wetsvoorstel aanneemt zodat 
zorgverleners makkelijker toegang kunnen krijgen tot patiënteninfor¬ 
matie. 17 Tegelijkertijd maakte het concern bekend in te zetten op nieuwe 
e-healthtechnologieproducten met de inzet op het verzamelen, analyseren 
en toepassen van big data, zoals het monitoren van patiënten in zieken¬ 
huizen en deze informatie verwerken in een datadoud.™ Opvallend is dat 
Philips bij deze cloud gaat samenwerken met verzekeraar Allianz. Kan de 
regering aangeven of, ondanks dat het wetsvoorstel in artikel 15f de 


14 Kamerstukken I 2015/16, 33 509, J, p. 12. 

15 Kamerstukken I 2015/16, 33 509, J, p. 4. 

16 Kamerstukken I 2015/16, 33 509, J, p. 5. 

17 http://www.zorgictzorgen.nl/ceo-philips-bemoeit-zich-medische-datacommunicatiewet-in- 
eerste-kamer/. 

18 https://www.zorgvisie.nl/ICT/Nieuws/201 6/2/Philips-maakt-big-data-strategie-bekend-op- 
Himss/. 
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toegang van verzekeraars tot de elektronische uitwisselingssystemen 
uitdrukkelijk verbiedt, er toch mogelijkheden zijn dat (commerciële) 
partners van verzekeringsmaatschappijen toegang kunnen krijgen tot 
patiënteninformatie? Geldt het in artikel 15f van het wetsvoorstel 
bedoelde verbod ook voor samenwerkingspartners van verzekeraars? Kan 
de regering uitsluiten dat monitorgegevens van patiënten met behulp van 
deze wet gebruikt gaan worden voor commerciële big datatoepassingen? 
Verder zijn in de deskundigenbijeenkomst nog enkele stellingen naar 
voren gebracht, waarvan we de regering zouden willen verzoeken hierop 
te reageren. 

De heer Verheul van de Radboud Universiteit en Keycontrols heeft het 
volgende aangegeven: «Zo'n verwijsindex wordt eigenlijk impliciet 
genoemd in het wetsvoorstel. Dat is een heel gevoelige tabel, die 
onwenselijk en technisch gezien niet noodzakelijk is. Dat is het belang¬ 
rijkste punt dat ik wil maken. In eerdere besprekingen van landelijke 
schakelpunten is al naar voren gekomen waarom het onwenselijk is. Als 
zo'n tabel in verkeerde handen valt, is plots duidelijk wie waar patiënt is. 
Het kan ook om een hiv-kliniek of een ggz-instelling gaan. Daarom wil je 
een centraal systeem met zo'n verwijsindex vermijden. Het is een heel 
grote tabel die heel lastig te beveiligen is. (...) Daarmee geef je expliciet 
aan dat zo'n verwijsindex gepseudonimiseerd moet worden of dat er 
gebruik moet worden gemaakt van privacy enhancing technologies, om 
ervoor te zorgen dat deze banale tabel in ieder geval niet centraal wordt 
toegepast.» 19 

Deelt de regering de stelling over dit veiligheidsrisico? Ziet de regering 
zich gelet hierop genoodzaakt om maatregelen te nemen in de uitvoering? 
De heer Verheul heeft voorts gezegd: «Die gegevens worden versleuteld 
verstuurd naar het landelijk schakelpunt, zeg maar de hub, de centrale 
spil. Ze worden daar ontsleuteld en vervolgens opnieuw versleuteld naar 
de opvragende zorgaanbieder verstuurd. Dat is een manier van werken 
die tien jaar geleden, toen dit soort systemen werd ontwikkeld, misschien 
nog wel logisch was, maar op dit moment is het niet meer gebruikelijk dat 
gegevens eventjes in the clear, onversleuteld, in zo'n centraal systeem 
staan. (...) Die oude manier van werken, waarbij die versleuteling even 
ongedaan wordt gemaakt op een centrale plek, is niet meer van deze 
tijd.» 20 

Deelt de regering de stelling over dit veiligheidsrisico? Ziet de regering 
zich gelet hierop genoodzaakt om maatregelen te nemen in de uitvoering? 
De heer Verheul heeft ook het volgende betoogd: «NEN 7510 werd 
genoemd. Dat is dus geen technische norm, maar een norm voor 
informatiemanagementsystemen. Die norm voegt in deze context niet zo 
heel veel toe aan de beveiliging.» 21 

Kan de regering aangeven of deze constatering klopt? Aangezien de 
aspecten van beveiliging in dit wetsvoorstel overwegend zijn onderbouwd 
met deze NEN-norm, kan de regering aangeven of er technisch gezien 
voor de uitvoerbaarheid sprake is van voldoende mate van veiligheid van 
uitwisseling van patiënteninformatie? 

Op 13 mei 2016 heeft de heer Böhre van Privacyfirst een brief naar de 
Eerste Kamer gestuurd met daarin aandachtspunten en daarop 
gebaseerde vragen. 22 De PVV-fractieleden hebben met belangstelling 
kennisgenomen van deze brief. Zij willen de regering verzoeken de in de 
brief gestelde vragen van een antwoord te voorzien en hen daarvan in 
kennis te stellen. 


19 Kamerstukken I 2015/16, 33 509, L, p. 18-19. 

20 Kamerstukken I 2015/16, 33 509, L, p. 19. 

21 Kamerstukken I 2015/16, 33 509, L, p. 19. 

22 Brief van 13 mei 2016, griffienummer 156848.38. 
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Vragen en opmerkingen van de leden van de SP-fractie 

Hoe kan volgens de regering de door haar geïntroduceerde «gespecifi¬ 
ceerde toestemming» 23 voldoen aan de eisen van een geïnformeerde, 
weloverwogen en uitdrukkelijke toestemming, zoals vastgelegd in artikel 8 
van het Europees Verdrag voor de Rechten van de Mens (EVRM) en Wbp, 
wanneer deze in potentie alsnog een generieke reikwijdte behelst? 

Welke bescherming biedt dit wetsvoorstel tegen het risico dat patiënten 
een toestemming geven, dan wel wordt gevraagd, waarvan ze de 
gevolgen voor de toegankelijkheid van hun medische gegevens niet 
kunnen overzien? 

Klopt het dat volgens artikel 15c van het wetsvoorstel de toestemming 
van een patiënt bij de ene zorgverlener ook kan leiden tot het ontsluiten 
van medische gegevens bij andere zorgverleners die een dossier van de 
patiënt bijhouden? Hoe verhoudt dit zich tot de individuele verantwoorde¬ 
lijkheid van zorgverleners voor het beroepsgeheim? Hoe moet de patiënt 
bij het geven van die toestemming worden geïnformeerd over welke 
gegevens voor wie toegankelijk worden (wanneer medische gegevens 
door derde zorgverleners worden ontsloten)? 

Is de vraag «Mag ik uw medicatiegegevens via het LSP uitwisselen met 
andere zorgverleners ten behoeve van toezicht op veilig medicijnge¬ 
bruik?» een specifieke vraag met een generiek antwoord? 24 Hoe ziet een 
gespecificeerd antwoord op de vorige vraag eruit? 

De regering zegt het volgende in haar beantwoording: «In het perspectief 
dat partijen voor ogen hebben, zal de patiënt zelf zijn toestemmingsprofiel 
kunnen vastleggen, inzien en aanpassen, bijvoorbeeld met behulp van 
een te ontwikkelen patiëntenportaal. Juist door het beheer van het 
toestemmingprofiel bij de patiënt zelf te leggen is hij in staat om goed te 
overzien waarvoor hij toestemming geeft en hier regie op te voeren.» 25 
Betekent dit dat de patiënt straks de enige is die kan beslissen wie wat 
inziet? Op welke wijze denkt de regering dat een dergelijk patiëntenportaal 
veilig kan worden ontwikkeld? In hoeverre kent de regering systemen die 
veilig genoeg zijn om dit te kunnen verzorgen? In hoeverre denkt de 
regering dat de patiënt in staat is zijn eigen IT-omgeving veilig genoeg te 
houden om een dergelijk patiëntenportaal te kunnen gebruiken? Op welk 
percentage inbreuk (hacks) wordt er gerekend? Vindt de regering dit een 
acceptabel aantal? 

Specifieke toestemming wordt in dit wetsvoorstel wel voorgesteld, maar 
tegelijkertijd weer buiten werking gesteld. De diverse partijen die werken 
aan het geven van specifieke toestemming (Artsenfederatie KNMG en de 
Landelijke Huisartsen Vereniging (LHV)) geven aan dat er op dit moment 
nog geen zicht is op of specifieke toestemming überhaupt wel op korte 
termijn haalbaar is. Dan nog blijft de vraag hoe de specifieke toestemming 
eruit gaat zien. Betekent het specifiek toestemming per behandelaar? Of is 
het per behandeldoel? Of is specifiek voor alle gelijke zorgaanbieders 
(bijvoorbeeld alle apothekers)? 

Betekent het idee van een toestemmingsportaal waarmee patiënten 
overzicht houden over en kunnen regelen wie toegang krijgt tot hun 
gegevens, dat alle systemen moeten koppelen met één groot portaal- 
systeem dat de «toestemmingsprofielen» bevat van alle patiënten? Zo ja, 
is dan het gebruik van zo'n portaal optioneel (voor patiënten die meer 
regie willen) of verplicht voor iedereen? Hoe wordt toestemming geregeld 
voor het kunnen plaatsen van persoonlijke informatie in zo'n portaal? En, 
gegeven de verwerking van gevoelige persoonsgegevens (toestemmings- 
regels, logging ) die zo'n centraal systeem impliceert, vereist de invoering 


23 Artikel 15a van het wetsvoorstel. 

24 Kamerstukken I 2015/16, 33 509, J, p. 6-7. 

25 Kamerstukken I 2015/16, 33 509, J, p. 3. 
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van zo'n systeem geen aparte en/of aanvullende wetgeving? Is zo'n 
systeem in zichzelf geen enorm privacyrisico? 

Als de patiënt via zo'n portaal «gespecificeerd» heeft aangegeven dat een 
bepaalde categorie zorgverleners geen toegang mag krijgen, mag een arts 
dan nog zelfstandig, vanuit zijn professionele opvatting, een specifieke 
collega van deze categorie toegang geven tot deze gegevens wanneer hij 
dat (medisch) noodzakelijk acht? En wie is verantwoordelijk voor de 
keuzes die hierin gemaakt worden? Wanneer de patiënt geen toestem¬ 
ming heeft gegeven waar dit nodig was of andersom, wie is dan verant¬ 
woordelijk voor de gevolgen daarvan? 

Krijgt de patiënt het recht om digitalisering van zijn of haar patiënten¬ 
dossier te weigeren? Alle data is immers nu digitaal beschikbaar en het 
risico op lekken neemt hiermee toe. Welke mogelijkheden heeft een 
patiënt wanneer hij of zij uitermate vertrouwelijke gegevens niet gedigita¬ 
liseerd wil zien? Op welke wijze worden minderjarigen hierin beschermd? 
Kan de regering uitleggen hoe zij de patiënten wil ondersteunen bij het al 
dan niet geven van de toestemming? Zoals in de deskundigenbijeenkomst 
nadrukkelijk werd gezegd door meerdere mensen, is dat de meeste 
patiënten niet sterk genoeg zijn om te weten wat zij moeten doen. Ze 
kunnen teveel ja zeggen tegen toestemming of uit angst nee zeggen. Hoe 
gaat de regering ervoor zorgen dat ieder een afgewogen keus kan maken? 
Heeft de regering ook een beeld van wat dit extra gaat kosten aan zorg? 
Veel patiënten zullen met name door hun zorgverlener op de hoogte 
moeten worden gesteld. Dat kost extra tijd en dus geld. Zijn hier calcu¬ 
laties voor gedaan? 

Er zijn inmiddels ook andere initiatieven voor het uitwisselen van 
gegevens. Deze kunnen ook zonder het wetsvoorstel ten uitvoering 
worden gebracht. Is dit wetsvoorstel niet teveel gebaseerd op het oude 
idee van het elektronisch patiëntendossier (EPD)? Waarom heeft de 
regering niet gekozen voor meer flexibele wetgeving? Zorgt deze 
wetgeving niet voor een tunnelvisie? 

Waarom is er niet voor gekozen om eigen regie door middel van 
gespecificeerde toestemming (dit geldt ook zónder portaal) optioneel te 
maken voor mensen die dit graag willen en kunnen, in aanvulling op 
(maar niet in plaats van) de gezamenlijke regie die arts en patiënt op dit 
moment hebben volgens de WGBO? 

Uitgangspunt van de WGBO is de professionele verantwoordelijkheid van 
de zorgverlener. Hoe staat het met dit uitgangspunt als het onderhavige 
wetsvoorstel is aangenomen? 

In de bijlage «Factsheet gespecificeerde toestemming» bij de nadere 
memorie van antwoord staat: «Ook voor het beschikbaar stellen van 
gegevens aan vervangers is op grond van het wetsvoorstel toestemming 
nodig, indien de beschikbaarstelling via een elektronisch uitwisselings- 
systeem plaatsvindt. Het wetsvoorstel «overruled» op dit punt de 
WGBO.» 26 Dit refereert aan artikel 7:457, tweede lid, van het Burgerlijk 
Wetboek. Indien dit punt van de WGBO wordt «overruled», is het dan ook 
zo dat het beschikbaar stellen van medische gegevens voor een recht¬ 
streeks bij de behandeling betrokken zorgverlener uit hetzelfde lid, wordt 
overruled door het wetsvoorstel? Dit wetsartikel maakt gegevensuit¬ 
wisseling in een aantal in de zorg veel voorkomende situaties 
(vervanging/waarneming, communicatie met directe collega's) mogelijk 
vanuit de discretionaire bevoegdheid van de zorgverlener, dus onder zijn 
verantwoordelijkheid. Dit is heel belangrijk om gegevens uit te kunnen 
wisselen met veronderstelde toestemming, als dat medisch noodzakelijk 
is, ook op momenten dat een patiënt dit zelf niet kan beslissen of regelen. 
Zou de regering hier nader op kunnen ingaan? 

De leden van de fractie van de SP zouden graag van de regering nadere 
uitleg willen over de push- en pull-communicatie van dit wetsvoorstel. Bij 


26 Kamerstukken I 2015/16, 33 509, J, bijlage Factsheet gespecificeerde toestemming, p. 2. 
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de WGBO en Wbp ging het er, versimpeld samengevat, om of (a) 
gegevens extern worden opgeslagen (Wbp-eis voor toestemming) en (b) 
of zorgverleners die géén vervanger waren en die geen rechtstreekse 
betrokkenheid bij de behandeling hadden, toegang tot gegevens zouden 
krijgen. Hoe zou dit nu werken onder dit wetsvoorstel? 

Vragen en opmerkingen van de leden van de PvdA-fractie 

Reikwijdte van het wetsvoorstel 

Het voorliggende wetsvoorstel is gericht op het realiseren van een veilige 
en cliëntgerichte wijze om medische gegevens over een cliënt/patiënt 
beschikbaar te stellen aan andere zorgverleners die zorg aan de cliënt 
leveren en aan de cliënt zelf. De eerste vraag heeft betrekking op de 
antwoorden van de regering in de nadere memorie van antwoord. De 
leden van de PvdA-fractie gaan ervan uit dat het wetsvoorstel regels stelt 
voor de uitwisseling van alle medische informatie van cliënten tussen 
zorgverleners. In de nadere memorie van antwoord wordt twee keer 
aangegeven dat het wetsvoorstel uitsluitend betrekking heeft op 
zogenaamde pull-verkeer en niet van toepassing is op push-berichten. 27 
Dit leidt bij de PvdA-fractieleden tot verwarring. Zij verzoeken de regering 
de reikwijdte van het wetsvoorstel te verhelderen. 

De PvdA-fractieleden constateren dat de voorgestelde wetswijzigingen 
betrekking hebben op de Zorgverzekeringswet (Zvw), Wet gebruik 
burgerservicenummer in de zorg (Wgb) en de Wet marktordening 
gezondheidszorg. Feit is dat medische zorg ook geleverd wordt binnen 
instellingen die gefinancierd worden door de Wet langdurige zorg (Wlz). 
Cliënten die gebruik maken van de Wlz maken bovendien veelal ook 
gebruik van de zorg die gefinancierd worden vanuit de Zvw. Medische 
gegevens spelen daarnaast een rol voor de zorg en ondersteuning die 
geleverd worden, gefinancierd uit de Wet op de jeugdzorg en Wet 
maatschappelijke ondersteuning (WMO). 

De PvdA-fractieleden gaan ervan uit dat voor het uitwisselen van 
medische gegevens in de hiervoor geschetste situaties dezelfde spelregels 
gelden als voor de zorg die gefinancierd wordt vanuit de Zvw. Onder¬ 
schrijft de regering dit? Indien dit het geval is: betekent het feit dat de 
regering geen wetswijzigingen voorstelt in deze wetten dat de regering 
van oordeel is dat in deze wetten de regels die de belangen van de cliënt 
beschermen bij elektronische uitwisseling, al toereikend zijn? Is de 
regering van oordeel dat voor deze zorg al adequaat is geregeld hoe de 
cliënt toestemming kan geven voor het beschikbaar stellen van alle of 
bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaan¬ 
bieders of categorieën van zorgaanbieders, en dat daarbij voorkomen is 
dat de financiers (zorgverzekeraars in hun rol als Wlz-uitvoerders en 
gemeenten) geen beschikking kunnen krijgen over de medische 
gegevens? Indien de regering onze stelling niet onderschrijft: welke 
spelregels gelden voor medische gegevens die gehanteerd worden 
binnen de Wlz, Wet op de jeugdzorg en WMO? 

Fasegewijze implementatie 

Een belangrijke reden om het wetsvoorstel nu in te voeren, hangt samen 
met het feit dat de huidige wetgeving niet specifiek gericht is op de 
elektronische uitwisseling van gegevens binnen de zorg. Het wetsvoorstel 
biedt heldere kaders voor nieuwe initiatieven in het zorgveld en realiseert 
transparantie wat betreft de (toekomstige) eisen, zodat leveranciers van 
ICT-systemen en zorgaanbieders weten waar ze aan moeten voldoen en 


27 Kamerstukken I 2015/16, 33 509, J, p. 12-13. 
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hun systemen daarop kunnen inrichten. In de nadere memorie van 
antwoord meldt de regering dat de praktijk nog niet op alle onderdelen op 
korte termijn in overeenstemming te brengen is met het wetsvoorstel. 
Voor dit inrichten (met name voldoen aan de NEN-normen) hebben 
zorgaanbieders tijd nodig. Hoeveel tijd krijgen de zorgaanbieders, nadat 
de wet van kracht wordt, om te voldoen aan alle eisen die voortvloeien uit 
dit wetsvoorstel en de AMvB? 

Wat betreft de bepalingen die gericht zijn op de introductie van gespecifi¬ 
ceerde toestemming (artikel 15a, tweede lid en artikel 15,c, tweede lid) en 
het recht op elektronische inzage en een elektronische afschriften (artikel 
15d en artikel 15e), stelt de regering voor deze bepalingen drie jaar na 
invoering van het wetsvoorstel in werking te laten treden. De 
PvdA-fractieleden vinden het positief dat het Ministerie van VWS, samen 
met partijen als de Patiëntenfederatie NPCF, Koninklijke Nederlandse 
Maatschappij ter bevordering der Pharmacie (KNMP), LHV en Artsenfede¬ 
ratie KNMG, werkt aan het voorbereiden van de invoering en de stappen 
die gezet moeten worden om toe te kunnen werken naar het eindper¬ 
spectief. Daarbij wordt door deze partijen begin dit jaar aangegeven dat 
het nog een jaar duurt voordat duidelijk zal zijn of de hiervoor genoemde 
bepalingen uitvoerbaar zijn. Hierover hebben de PvdA-fractieleden nog 
een aantal vragen. 

In reactie op de naar de Eerste Kamer verzonden nadere memorie van 
antwoord is door een deel van de veldpartijen gepleit voor uitstel van de 
behandeling van het wetsvoorstel totdat duidelijk is of de gevonden 
knelpunten kunnen worden opgelost. Andere veldpartijen pleiten juist 
voor invoering om een onomkeerbare stap te kunnen maken in de weg 
naar (wettelijke eisen voor) elektronische uitwisseling van medische 
gegevens. De benadering die de regering kiest - invoering over drie jaar 
van de hierboven genoemde bepalingen - lijkt gebaseerd op de veronder¬ 
stelling dat het dan mogelijk is voor het veld om aan de genoemde 
artikelen te voldoen. Waarop is deze veronderstelling gebaseerd? Waarom 
wordt gekozen voor een periode van drie jaar en niet een eerder of later 
tijdstip? Hoe kijkt de regering aan tegen het voorstel om met de behan¬ 
deling van het wetsvoorstel te wachten tot helder is of de invoering van 
de bepalingen uitvoerbaar is? En, indien de regering de voorkeur geeft 
aan het niet uitstellen van de behandeling: waarop baseert de regering het 
kennelijke vertrouwen dat het wetsvoorstel uitvoerbaar zal zijn? Wat gaat 
er gebeuren als in de komende tijd zal blijken dat de genoemde 
bepalingen niet uitvoerbaar mochten zijn? 

Organisatorische consequenties en administratieve lasten 

In de technische briefing is naar voren gekomen dat in het hiervoor 
genoemde plan van aanpak uitsluitend gekeken wordt naar de technische 
voorwaarden om de genoemde bepalingen in te voeren. Een deel van de 
veldpartijen heeft aangegeven dat nader onderzoek nodig is om zichtte 
krijgen op de praktische uitvoerbaarheid van de deze bepalingen. Het gaat 
daarbij zowel over de organisatie van de gegevensuitwisseling, als de 
praktische uitwerking als voldaan moet worden aan de privacy-eisen in de 
dagelijkse zorgpraktijk. Daarbij geven de veldpartijen bijvoorbeeld aan dat 
het onduidelijk is hoe omgegaan moet worden met het beschikbaar 
stellen van medische gegevens via een pull-benadering binnen verschil¬ 
lende organisatorische eenheden van een zorgorganisatie en/of in acute 
situaties en/of in situaties dat de cliënt niet aanspreekbaar is. Een vraag 
die hier aan gerelateerd is, is de vraag hoe de regering de rolverdeling ziet 
tussen individuele medische specialisten en de bestuurlijke verantwoorde¬ 
lijkheid van de maatschappen en zorginstellingen waarbinnen zij veelal 
werkzaam zijn. 
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In de nadere memorie van antwoord geeft de regering aan dat nog weinig 
kan worden gezegd over de administratieve lasten zolang niet duidelijk is 
hoe gespecificeerde toestemming wordt geïmplementeerd en tegelij¬ 
kertijd verwacht ze dat in het eindperspectief, waarin de cliënt zelf zijn 
toestemmingsprofiel beheert, de toename van de administratieve lasten 
voor de zorgpraktijk beperkt zullen blijven. 28 Kan de regering aangeven 
waarom ze enerzijds zegt nu niet in te kunnen schatten wat de administra¬ 
tieve lasten zijn en tegelijkertijd nu al tot de conclusie komt dat ze 
verwacht dat die in de eindsituatie mee zullen vallen? Van welke gedrags- 
veronderstellingen is de regering daarbij uitgegaan, bijvoorbeeld wat 
betreft het gebruik van slimme ICT-oplossingen en devices door cliënten 
en zorgverleners? Hoe kijkt de regering aan tegen de betekenis van het 
wetsvoorstel voor de administratieve lasten van de zorg in de weg naar 
dit eindperspectief? Wat zijn voor de regering aanvaardbare administra¬ 
tieve lasten zowel in de weg naar het eindperspectief als in de 
eindsituatie? 

De PvdA-fractieleden zien met belangstelling uit naar de antwoorden van 
de regering. 

Vragen en opmerkingen van de leden van de GroenLinks-fractie 

Is de interpretatie juist dat ook bij volledig uitstel van invoering de basale 
bescherming van de privacy al is geregeld in onder andere de WGBO en 
de Wbp? 

Is de interpretatie juist dat met het niet invoeren van artikel 15b van het 
wetsvoorstel (toestemming vragen bij raadplegen gegevens) zorgaan¬ 
bieders nog steeds alleen gegevens mogen raadplegen als er een 
behandelrelatie is? 

Is de interpretatie juist dat met het nog niet invoeren van artikel 15d en 
15e van het wetsvoorstel (elektronisch afschrift, inzage en logging) 
zorgaanbieders met wie op dat moment geen behandelrelatie bestaat, 
gegevens zouden kunnen raadplegen zonder dat de patiënt dat kan 
achterhalen? 

Is de interpretatie juist dat vanuit patiëntenperspectief de belangrijkste 
waarborgen van eigen regie en inzicht in privacy-aspecten gelegen zijn in 
de artikelen die (nog) niet in werking zullen treden? 

Op welke termijn is er zicht op een patiëntenportaal waar de toestem¬ 
mingen veilig en klantvriendelijk kunnen worden beheerd? Wordt dit ook 
gekoppeld aan inzage in logging- bestanden? 

Op welke termijn is de gespecificeerde toestemming uitvoerbaar en 
handhaafbaar? 

Op welke wijze wordt het risico uitgesloten van een inbreuk op de 
anonimiteit van gegevens in het LSP (zoals tijdens de deskundigenbijeen¬ 
komst door de heer Verheul beschreven als een verwijsindex 29 )? 

Is de interpretatie correct dat voor het vaststellen van nadere 
NEN-normen voor de gegevensuitwisseling een ministeriële regeling 
volstaat, omdat daar al een wettelijke grondslag voor bestaat? 


28 Kamerstukken I 2015/16, 33 509, J, p. 5. 

29 Kamerstukken I 2015/16, 33 509, L, p. 8. 
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Is de regering bereid om verdere behandeling van dit wetsvoorstel 
gedurende een jaar aan te houden en in die tijd helderheid te verkrijgen of 
de gespecificeerde toestemming uitvoerbaar zal worden en hoe de 
patiëntenregie in een portaal kan worden georganiseerd? 

De leden van de vaste commissie voor Volksgezondheid, Welzijn en Sport 
zien de antwoorden van de regering met belangstelling tegemoet. 

De voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en 
Sport, 

Martens 

De griffier van de vaste commissie voor Volksgezondheid, Welzijn en 
Sport, 

De Boer 
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